iSecure logo
Blog

Zbycie / pozyskanie przedsiębiorstwa a obowiązki wynikające z RODO

Wstęp

Zbycie przedsiębiorstwa lub jego części jest powszechną formą transakcji handlowej obejmującą przeniesienie własności przedsiębiorstwa wraz z jego aktywami z jednego podmiotu na drugim. Sam proces sprzedaży przedsiębiorstwa jest skomplikowanym, wielowątkowym procesem prawnym. Niemniej, w niniejszym artykule postaramy się odpowiedzieć na pytanie, w jaki sposób podczas transakcji zbycia przedsiębiorstwa zadbać o przetwarzanie danych osobowych zgodnie z wymogami RODO.

Proces due diligence

Zanim jednak dojdzie do ostatecznej sprzedaży / nabycia przedsiębiorstwa bardzo często mamy do czynienia z tzw. „badaniem due diligence”. Przez due diligence należy rozumieć badanie stanu prawnego przedsiębiorstwa przed jego nabyciem. Podmiot nabywający musi być pewny, że przedsiębiorstwo, które zamierza kupić jest w dobrym stanie finansowym, prawnym i organizacyjnym. Badanie due diligence najczęściej przeprowadzone jest przez specjalistyczne podmioty audytowe na zlecenie nabywającego. Inspektor Ochrony Danych (dalej jako „IOD”) spółki, która jest poddawana audytowi, powinien przeanalizować zakres i celowość udostępnianych danych w ramach due diligence. W większości przypadków audytor wymaga przesłania szeregu dokumentów, w tym dokumentów, sprawozdań finansowych, w których widnieją dane osobowe: klientów, pracowników, współpracowników. Zawsze w takich przypadkach pojawia się słuszne pytanie o zakres udostępnianych danych.

W większości przypadków przed przeprowadzeniem badania due diligience dochodzi do zawarcia umowy pomiędzy audytorem, a audytowanym określającej szczegóły prowadzonych czynności audytowych. W pierwszej kolejności IOD powinien zweryfikować taką umowę w zakresie postanowień dotyczących ochrony danych osobowych. Co do zasady, audytorzy występują w roli oddzielnego administratora danych osobowych.  Wynika to z przyjętego stanowiska przez PUODO w odpowiedzi na pytanie zadane przez Polską Izbę Biegłych Rewidentów (por. https://uodo.gov.pl/pl/225/1248). Organ nadzorczy wyraźnie stwierdził, że firmy audytorskie ze względu na cele przetwarzania oraz obowiązuję ich przepisy prawa występują w roli oddzielnego administratora danych. W związku z powyższym przed badaniem, due diligence nie jest konieczne zawarcie umowy powierzenia przetwarzania danych z firmą audytorską. Niemniej, konieczne jest zweryfikowanie postanowień dotyczących ochrony danych osobowych. Przy badaniach due diligence najważniejsze z perspektywy ochrony danych osobowych jest zwrócenie uwagi na realizacje zasady minimalizacji danych osobowych. Zgodnie z zasadą minimalizacji danych należy przetwarzać wyłącznie te dane osobowe, które rzeczywiście są niezbędne do realizacji celów przetwarzania. Przed rozpoczęciem badania due diligence konieczne wspólne ustalenie z podmiotem audytującym jaki zakres danych osobowych jest niezbędny do przeprowadzenia badania stanu prawnego przedsiębiorstwa. W związku z powyższym rekomendowane jest:

  1. Ustalenie przed rozpoczęciem due diligence zakresu danych osobowych, które są rzeczywiście niezbędne do przeprowadzenia badania. Podmiot audytujący, jak i podmiot udostępniający powinni być w stanie uzasadnić celowość przekazywanych danych.
  2. Tam, gdzie jest to możliwe – udostępniać dokumenty w formie zanonimizowanej lub pseuodonimizowanej.

 Nabycie przedsiębiorstwa – co ze zgodami, obowiązkami informacyjnymi, umowami powierzeniami?

Zgodnie z art. 494 par. 1 kodeksu spółek handlowych spółka przejmująca albo spółka nowo zawiązana wstępuje z dniem połączenia we wszystkie prawa i obowiązki spółki przejmowanej albo spółek łączących się przez zawiązanie nowej spółki. Jest to tzw. sukcesja uniwersalna praw i obowiązków. Te zasady należy również dostosować do kwestii praw i obowiązków związanych z przetwarzaniem danych osobowych. W pierwszej kolejności spółka wstępujące w prawa i obowiązki spółki oddającej, powinna zweryfikować czy procesy i cele przetwarzania danych przez spółkę nabywające będą takie same jak poprzednio. Jeżeli tak, to należy przyjąć, że wyrażone wcześniej zgody i przekazane obowiązki informacyjne zachowują ważność. Nie oznacza to jednak, że osoby fizyczne nie powinny otrzymać żadnego komunikatu. W przypadku nabycia przedsiębiorstwa, nowy podmiot prawny powinien powiadomić podmioty danych o nowym administratorze danych i jego danych kontaktowych. Wyrażone zgody na przetwarzanie danych osobowych pozostaną aktualne. Nie zmienia to jednak faktu, że w ramach wyrażonych zgód, należy poinformować o nowym administratorze danych osobowych i jego danych rejestrowych. Dodatkowo, rekomendowane jest poinformowanie o możliwości wycofania zgody w każdym momencie.

Jeżeli w ramach wyrażonej wcześniej zgody, nowa spółka zamierza realizować inne cele przetwarzania, automatycznie należy będzie pozyskać nową, zaktualizowaną o nowe cele zgodę na przetwarzanie danych osobowych. W przypadku, gdy nowy podmiot zdecyduje o tym, że w niektórych procesach przetwarzania dojdzie do zmiany celu przetwarzania – każda taka zmiana, powinna pociągać za sobą konieczność szczegółowego poinformowania podmiotu danych. Komunikacja o zmianach powinna nastąpić w taki sposób, aby ich odbiorcy mogli się z nią łatwo zapoznać np. poprzez wiadomość mailową, tradycyjną korespondencje, komunikat w aplikacji, okienko pop-up itd.

Ponadto, konieczna jest aktualizacja i zweryfikowanie rejestrów czynności przetwarzania o stare i nowe cele przetwarzania. Jednocześnie, nowy podmiot musi poinformować wszystkie podmioty, z którymi wcześniej zostały zawarte umowy powierzenia o wstąpieniu w prawa i obowiązki zbywcy przedsiębiorstwa. Jeżeli charakter powierzenia nie ulegnie zmianie, umowy powierzenia zachowają aktualność, zgodnie z zasadą sukcesji uniwersalnej.

Pobierz wpis w wersji pdf

Podobne wpisy:

Dostosowanie przedsiębiorców do RODO okiem specjalisty

Czy po dwóch latach od wejścia w życie RODO przedsiębiorcy dostosowali swoje działania do nowych przepisów o ochronie danych osobowych? Jak wynika z ankiety przeprowadzonej przez GDPR Community, pewność większości specjalistów co wdrożenia RODO w organizacjach wynosi mniej niż 50%. Co niepokojące, tylko 6% ankietowanych zagłosowało na „Większość jest zgodna z przepisami (80%<)”. Autorka tekstu […]

Dokumentacja zgodna z RODO

“Proszę o sporządzenie dokumentacji wewnętrznej zgodnej z RODO” – jest to jedno z najczęściej pojawiających się próśb skierowanych przez przedsiębiorców do wewnętrznych inspektorów ochrony danych lub spółek zajmujących się doradztwem z zakresu ochrony danych osobowych. Poza pewnymi dokumentami będącymi nowością na gruncie RODO, np.  rejestrem czynności przetwarzania lub dokumentami istniejącymi od dawna, jako obowiązkowe, a […]

Przydatne aplikacje

Program lojalnościowy a przetwarzanie danych osobowych

Program lojalnościowy to nie tylko budowanie trwałych i pozytywnych relacji z klientami, ale również właściwie zabezpieczenie gromadzonych w tym celu danych osobowych. W praktyce zaprojektowanie programu lojalnościowego, bezpiecznego pod kątem przepisów o ochronie danych osobowych jest trudne i skomplikowane, ale pomimo tej niedogodności, przedsiębiorcy bardzo chętnie sięgają po tę formę reklamy i promocji. Jak zatem […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki